SSIM v praxi - Česká daňová správa Ministerstvo financí ČR Nikol Honová Government Sales Manager Czech & Slovak Republic

Situace v infrastuktuře........ UFDŘ 8 finančních ředitelství 225 poboček FÚ Roční ostrý provoz Highlight Complexity, Cost, and Compliance…transition to next slide on complexity 13 000 klientů v celé síti Source: CSI/FBI Computer Crime and Security Survey June 2004 Raději chytrostí než silou

Architektura sítě - Daňové správy Propojení mezi pobočkami - WAN linky Řídící AV server – na každé pobočce - místo odkud sbíráme data do SSIM STRUKTURA POBOČEK Celkem 225 poboček Bývalé okresní pobočky cc 50 míst po celé ČR = zhruba 50 uživatelů 175 menších poboček = většinou do 10 uživatelů Raději chytrostí než silou

Raději chytrostí než silou PROČ ....řešit situaci Způsob řízení provozu sítě Potřeba zajištění komunikace do centra o fungování ochrany při případných incidentech v síti Složitost řízení reportingu, časová náročnost, administrativa, nepřehlednost Chybějící celkový přehled o stavu sítě a jednotlivých úřadů Chaotický styl řešení vzniklých událostí Nedostatek kvalitních informací k rozhodování Raději chytrostí než silou

Raději chytrostí než silou SSIM v 4.0 Appliance SSIM Agent SSIM Manager SSIM DataStore SSIM Directory SSIM management console SSIM Collector Security Information Manager Tip: Use the pointer tools to highlight the component in the picture as you speak about it. SESA Agent – A Java application that runs at each managed endpoint to connect all Symantec Enterprise Security (SES) products to the SESA Manager. Symantec wrote the SESA Agent as an extension to an open-source implementation, which is based on industry standards. You could have hundreds or thousands of Agents deployed in your organization. SESA Manager – Replaces the current point product Managers – like those for ITA and ESM. The big difference is that you can use a SESA Manager for multiple applications at the same time and they are very scalable. It provides centralized collection of and access to event data and associated logs/reports, as well as the management of and access to policy data. It is a Web application server running a servlet engine and related Symantec middleware. Initially the SESA Manager is IBM Apache and Tomcat. You may only need a few Managers – from a handful to a few dozen, depending on how large your organization is. SESA DataStore – Is the storage provider for the event data collected from SESA-enabled and SESA-supported products. It is a relational database. Initially the SESA DataStore is IBM DB2. While a company may only need one DataStore, it is also conceivable that a company could have multiple DataStores – perhaps one in each region – all reporting into the central DataStore (at corporate HeadQuarters). SESA Directory – Catalogs user, computer, and managed product information. It allows for the creation and maintenance of groups, configuration policies, and system topology. In addition, the SESA Directory provides fine-tuned control of management systems objects such as administrative domains, roles, organizational units, and customized queries.An LDAP directory. Initially the SESA Directory is IBM SecureWay. A company would only need a single SESA Directory. Raději chytrostí než silou 5

Mapování struktury organizace do SSIM Raději chytrostí než silou

Řešení - implementace SSIM v4.0 Zajímavé události ze všech PC jsou předány na řídící servery = vlastnost AV 225 AV serverů = AGENT SSIM = odesílá v reálném čase všechny AV události do centrální SSIM zařízení SSIM = ukládá události do databáze Korelační pravidla = v reálném čase hledají logické souvislosti mezi jednotlivými událostmi Po zapsání události přiřadí stupeň důležitosti incidentu Automatická notifikace na definovaná místa Raději chytrostí než silou

Řízení přístupů k informacím Události mohou obsahovat citlivá data Kažý admin má přístup pouze k informacím pocházejícím z části organizace kterou má svěřenou Operátoři a administrátoři FŘ vidí celou síť Raději chytrostí než silou

Dynamická parametrizace Do korelačních pravidel vkládáme např. Seznamy IP adress útočníků, aktuální zranitelnosti, „ best of „ Obsah expertního systému Symantec Raději chytrostí než silou

Raději chytrostí než silou

Rozdělení a příklady incidentů Závažnost 1 = ladění systémů, testovaní Závažnost 2 = nejčastější = nakažené soubory nelze přesunout do karantény 10-15 denně (vznik browse, falešné poplachy v dodavatelských aplikacích) Závažnost 3 = nestažené AV definice na hlavním serveru nebo varování ze Symantecu = nenahrané definice Závažnost 4 = NENASTALA = totální havárie, napadení kritických systému = Denial of Service situation Raději chytrostí než silou

Postupy řešení incidentů O každém incidentu je notifikován operátor Operátor řeší incident sám * nebo postoupí incident a návrh řešení podle plánu a upozorní definovanou skupinu admin – v závislosti na stupni závažnosti Uzavření incidentu , vyhodnocení doby odezvy generuje se ticket- incidentu SLA 24x7 = měření reakční doby a dodržení SLA Raději chytrostí než silou

Raději chytrostí než silou Benefity Bezpečnost je ŘÍZENÁ Přehlednost a reálný obraz stavu sítě Zjednodušení práce pro administrátory Rychlost a přesnost reakce Konsistence řešení v celé ploše Zaručená reakce mimo pracovní dobu Časová úspora = Finanční přínos Raději chytrostí než silou

Raději chytrostí než silou Další kroky v projektu..... Přechod na verzi 4.5 Benefity implementace Dlouhodobá archivace všech události v řádech let Připojení dalších typů událostí = např. Poštovní logy, FW logy, IDS Použití pro forenzní analýzu Sledování dlouhodobých trendů Raději chytrostí než silou

Event Collectors - Over 120 Supported Products (partial list) Intrusion Detection/Prevention Symantec Network Security (SNS) Symantec HIDS Symantec ITA Snort Symantec Sygate Symantec Critical System Protection Cisco IDS Cisco Security Agents TippingPoint NIPS Enterasys Network Dragon eEye Retina JuniperIDP ISS Siteprotector McAfee Intrushield SourceFire Firewalls Symantec Gateway Security Cisco PIX Cisco FWSM Nokia FW Juniper NetScreen Firewall Checkpoint Firewall-1 Nortel Contivity Fortinet Fortigate SunScreen Microsoft Windows Firewall Microsoft ISA Routers, Switches and VPN Cisco IOS Juniper VPN CyberGuard Cisco VPN 3000 Concentrator Enterprise AV Solutions Symantec AntiVirus Symantec Client Security Symantec Mail Security for Exchange Symantec Mail Security for Lotus Domino Symantec Mail Security for SMTP  McAfee EPO McAfee GroupShield McAfee VirusScan Trend Micro Control Manager (TMCM) Trend Micro OfficeScan Trend Server Protect Information Server Trend Interscan Messaging Security Suite Trend Scanmail for Exchange Trend Scanmail for Notes Trend Interscan Viruswall Trend Interscan Web Security Suite Operating systems Microsoft Windows Event Log Solaris OS Collector Sun BSM SUSE Linux Debian Linux RedHat Linux IBM AIX HP/UX Tandem SELinux IPTables Web servers, Filters and Proxies Apache Web Server IBM Websphere Bluecoat Proxy Microsoft ISA Microsoft IIS Sun One WebServer Use this to point out we have a lot of collectors but make sure you emphasis that this is not a complete list. Other Cisco Netflow Fox Server Control Blue Lance LT Auditor PassGo UPM Kiwi Syslog Generic Syslog Symantec Cyberwolf Symantec Wholesecurity Vulnerability/Policy Scanners Symantec ESM Symantec Bindview Nessus nCircle Qualys QualysGuard StillSecure VAM Identifty Management Microsoft Windows DHCP Microsoft Operations Manager Microsoft Active Directory RSA SecurID Cisco ACS Databases Oracle Security Logs (9i & 10g) MS SQL Server Logs Raději chytrostí než silou

Raději chytrostí než silou DĚKUJI za pozornost ! Nikol Honova Email: nikol_honova@symantec.com +420602 548 148 © 2006 Symantec Corporation. All rights reserved.   THIS DOCUMENT IS PROVIDED FOR INFORMATIONAL PURPOSES ONLY AND IS NOT INTENDED AS ADVERTISING. ALL WARRANTIES RELATING TO THE INFORMATION IN THIS DOCUMENT, EITHER EXPRESS OR IMPLIED, ARE DISCLAIMED TO THE MAXIMUM EXTENT ALLOWED BY LAW. THE INFORMATION IN THIS DOCUMENT IS SUBJECT TO CHANGE WITHOUT NOTICE. Raději chytrostí než silou